信息泄露挖掘小工具

admin 2025年1月14日21:47:33评论11 views字数 708阅读2分21秒阅读模式

/*本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。*/

一款支持 目录扫描(可配合熊猫头)+自动绕403+敏感匹配 等的小脚本工具

https://github.com/sdfwesfe/cowcow
信息泄露挖掘小工具
工具目的:
节省使用bp单独更改host时间
工具原理:
使用熊猫头或其他工具得到多个url和多个路径,对url和路径一对多拼接,拼接后使用get和post请求,若其中一个为200状态,会对响应内容进行一个敏感词匹配功能,若为403状态,则会尝试多种403绕过方式,成功绕过后同样会进行敏感词匹配功能。多个UA头是为了防止设备识别为爬虫攻击,正则内容、ip内容、假数据内容可自己单独增加。
在后面使用该工具的同时,可继续挖掘其他内容,该工具主要是用于挖掘信息泄露。
信息泄露挖掘小工具
正则匹配借鉴了HAE插件
信息泄露挖掘小工具

使用方法:

python3环境

信息泄露挖掘小工具
目录下创建urls.txt和paths.txturls.txt作用: 填入http://xxxx/等url,一行一个paths.txt作用: 填入xxx/xx/等路径,一行一个200.txt会保存存活的完整url和匹配到关键字的urlconcat.txt会保存拼接好的完整url注意: 填入url和path的时候不要留空格此工具我使用了随机UA头防爬虫封禁,同时增加了XFF头和其他的方式绕403状态的url,还增加了正则匹配敏感内容,如:shiro、身份证等目前工具只能简单扫描命令行采用傻瓜式运行:python cowcow.py

使用截图

信息泄露挖掘小工具
信息泄露挖掘小工具
成果截图:
信息泄露挖掘小工具

原文始发于微信公众号(Joker One Security):信息泄露挖掘小工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月14日21:47:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息泄露挖掘小工具https://cn-sec.com/archives/3628148.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息